Aangetekend Mailen
Aangetekend: “Onze hele keten moet secure zijn”
Veel mensen kennen de dienst Aangetekend Mailen. Het bedrijf hierachter, Aangetekend, levert daarnaast nog drie andere diensten: Beveiligd Mailen, Digitaal Ondertekenen en Grote Bestanden Delen. Uiteraard zijn het bedrijf én de hele keten ISO27001 gecertificeerd, maar dit stelt niets voor vergeleken bij de eIDAS-eisen, waar Aangetekend – en ook BIT – aan voldoen.
eIDAS, wat staat voor eletronic Iditification and Trust Services, is een Europese verordening die eisen stelt aan vertrouwensdiensten en elektronische identificatiemiddelen. Elektronische vertrouwensdiensten, zoals elektronische handtekeningen, elektronische zegels, elektronische tijdstempels, website-authenticatie en elektronische aangetekende bezorgdiensten vallen onder de regelgeving. In Nederland zijn er slechts tien bedrijven met een eIDAS-certificering, waaronder Aangetekend. Deze bedrijven worden door het Ministerie van Economische Zaken aangemerkt als vitale organisaties en staan daarom onder toezicht van de Rijksinspectie Digitale Infrastructuur.
Hele keten beveiligen
eIDAS bestond nog niet toen Aangetekend in 2011 werd opgericht door Philip Voogt en Wouter van den Brink. De eerste corporate klanten die aanvullende informatiebeveiligingseisen gingen stellen, waren onder andere Nationale Nederlanden en ABN AMRO. Zij vroegen van Aangetekend om de hele keten volgens de ISO 27001-norm te beveiligen. “Dat was destijds best lastig, want toen waren er nog niet veel datacenterdienstverleners die volledig ISO 27001 gecertificeerd waren. BIT was dat wel”, zegt Van den Brink.
eIDAS-certificering
Aangetekend nam virtuele servers af bij BIT die draaiden op een shared platform. Tot Aangetekend in 2016 besloot om zich te certificeren conform de eIDAS-Verordening die in 2014 in werking was getreden. Van den Brink: “eIDAS stelt substantieel hogere eisen aan informatiebeveiliging dan ISO 27001. Je moet 100 procent in controle zijn op alles.” Het betekende onder meer dat Aangetekend geen gebruik meer mocht maken van een shared platform; alles moet draaien op eigen servers. Ook moet de omgeving gebruikmaken van een eIDAS gecertificeerde Hardware Security Module (HSM), waarin de cryptografische sleutels veilig worden opgeborgen. Buiten Aangetekend mag niemand fysiek bij die sleutels kunnen. Dit betekende dat er in het BIT-datacenter een stalen case om de HSM moest worden geplaatst die is afgesloten met een gecertificeerd slot en voorzien is van zegels die periodiek moeten worden gecontroleerd. Ook aan de housing, stroomvoorziening en internetverbindingen die BIT levert stelt eIDAS specifieke eisen.
Auditor onder de indruk
Van den Brink is trots dat het is gelukt om de eIDAS-certificering te bemachtigen en zo een qualified Trust Service Provider (qTSP) te worden. “Het feit dat er in Nederland slechts tien organisaties zijn met dit certificaat zegt volgens mij genoeg”, zegt hij met een lach. Hij is ook trots op BIT. “De hele keten wordt geaudit, dus ook het datacenter. De auditoren waren echt onder de indruk van hoe goed BIT zaken voor elkaar heeft. Zij komen in de beste datacenters in heel Europa. Na hun aanraden huisvest BIT nu een tweede Europese gekwalificeerde vertrouwensdiensteverlener (qTSP). Een groter compliment bestaat volgens mij niet”, zegt Van dan Brink.
Diverse certificeringen
Hij is blij met de ontwikkeling die Aangetekend heeft doorgemaakt. “We zijn sinds 2019 eIDAS gecertificeerd en hebben een enorme groei doorgemaakt. In eerste instantie hebben we de applicatie door een externe partij laten bouwen, maar inmiddels doen we alles in eigen beheer. We hebben eigen ontwikkelaars en eigen IT-beheerders in dienst en zijn aantoonbaar altijd 100 procent ‘in control’. Naast eIDAS en ISO 27001 zijn we ook ETSI-gecertificeerd. Vanwege al deze certificeringen was het voor ons een fluitje van een cent om aan de nieuwe NIS2- en DORA-eisen te voldoen.”
Digitale weerbaarheid
De ministeries van Binnenlandse Zaken en Defensie zien dit ook. Samen met grote bedrijven zoals KPN zit Aangetekend in een werkgroep om cyberaanvallen zo vroeg mogelijk te herkennen en mogelijke risico’s te mitigeren. “Het is in deze veranderende wereld belangrijk om digitaal weerbaar te zijn”, zegt Van den Brink. “Weerbaarheid heeft niet alleen betrekking op security, maar ook op datasoeveriniteit. Je wilt dat vertrouwelijke diensten in een Nederlandse cloud draaien en niet in het buitenland. Daarnaast houdt weerbaarheid ook verband met de stroomvoorziening. BIT heeft diverse maatregelen getroffen om ervoor te zorgen dat ook in tijden van overbelasting van het net de stroomvoorziening op orde blijft.”
Duurzaamheid
Sinds twee jaar is Aangetekend onderdeel van Your.Online, die per 2025 bestaat uit zestig bedrijven in zeven verschillende landen. Daarmee moet het bedrijf ook voldoen aan Europese wetgeving op het gebied van milieu en klimaat, zoals de CSRD (wetgeving die grote bedrijven verplicht te rapporteren over hun impact op klimaat en milieu) en de daarmee samenhangende CSDDD (de anti-wegkijkwet die grote bedrijven verplicht om schendingen van milieu- en klimaatregels in hun toeleveringsketen op te sporen en aan te pakken). Van den Brink: “BIT is erg actief op het gebied van duurzaamheid en is daar ook heel transparant over. Daardoor kunnen wij eenvoudig aan onze rapportageverplichtingen voldoen. Maar het allerbelangrijkst is: ze hebben hun zaken goed voor elkaar. Dat stelt ons in staat om op dit hoge niveau te opereren en Champions League te spelen.”